Sis fidye yazılımı grubu, geleneksel saldırı yöntemlerinin ötesine geçti ve Asya’daki bir finans kurumu hedefleyen sofistike bir Mayıs 2025 kampanyasında benzeri görülmemiş bir meşru pentesting araçları arsenalini konuşlandırdı.
Bu son işlem, çalışan izleme yazılımlarını ve daha önce fidye yazılımı manzarasında görülmemiş açık kaynak penetrasyon test çerçevelerini içeren tipik fidye yazılımı taktiklerinden önemli bir ayrılışa işaret ediyor.
Saldırı, tehdit aktörlerinin casusluk ve finansal siber suçlar arasındaki çizgileri nasıl bulanıklaştırdığını gösteriyor.
.png
)
Saldırganlar, fidye yazılımı yüklerini konuşlandırmadan önce yaklaşık iki hafta boyunca kurbanın ağına kalıcı erişimi sürdürdü, meşru Syteca çalışan izleme yazılımı, GC2 komut ve kontrol çerçevesi, ADAPTIX C2 Agent Beacon ve Stowaway Proxy araçlarını içeren çeşitli bir araç seti kullandı.
İlk uzlaşma vektörleri değişim sunucularını hedefledi, ancak araştırmacılar kesin giriş noktasını kesin olarak belirleyemediler.
Saldırganlar, bu araçları keşif, yanal hareket ve veri açığa vurarak kullanarak, whoami– net useve hedef ortamı haritalamak için ağ numaralandırma teknikleri.
Symantec analistleri, fidye yazılımı işlemleriyle yaygın olarak ilişkili olmayan araçların dağıtılması nedeniyle saldırıyı özellikle olağandışı olarak tanımladılar.
Komut yürütme ve dosya eksfiltrasyonu için Google Sheets veya Microsoft SharePoint’i kullanan GC2 aracı, daha önce APT41 işlemlerinde gözlemlenmişti, ancak fidye yazılımı arsenallerine yeni bir ekleme temsil ediyor.
Saldırganlar, GC2’yi meşru bulut hizmetleri aracılığıyla gizli koruyarak, geleneksel ağ izleme çözümlerini etkili bir şekilde atlayarak uzaktan komutları ankete dönüştürdü.
En önemlisi, saldırganlar fidye yazılımı dağıtımından birkaç gün sonra hizmet tabanlı arka kapılar kurarak, “SecurityHealthiron” adlı bir hizmet oluşturarak “Komut satırı araçlarını kullanarak bir uygulama hakkında performans bilgileri topla” açıklamasıyla olağanüstü bir kalıcılık gösterdiler.
Bu birlik sonrası kalıcılık mekanizması, geleneksel fidye yazılımı faaliyetlerinin devam eden casusluk faaliyetleri için kapsam görevi görebileceği potansiyel çift amaçlı operasyonları önermektedir.
Gelişmiş kalıcılık ve çift amaçlı operasyonlar
Fidye yazılımı dağıtımını takiben kalıcılık mekanizmalarının oluşturulması, tehdit aktör davranışında bir paradigma değişimini temsil eder.
SecurityHealthiron hizmetinin oluşturulması sc create Komutlar, derhal finansal kazancın ötesinde sofistike planlamayı gösterir.
Bu teknik, GC2 operasyonlarını izleyen Process Watchdog programları ile birleştiğinde, sis operatörlerinin fidye yazılımını terminal saldırı hedefleri yerine daha geniş zeka toplama kampanyalarının bir bileşeni olarak gördüğünü göstermektedir.
Herhangi biriyle tehdit tepkisini otomatikleştirin. -> Tam erişim isteyin